当前位置:网站首页 > 横幅广告 > 正文

15款安卓壁纸app因涉嫌广告点击欺诈被下架

作者:admin发布时间:2021-09-11分类:横幅广告浏览:评论:29


导读:最近趋势科技在应用商店中发现了15款存在广告点击欺诈行为的壁纸应用。在撰写本文时这些应用已经被下载了222,200多次。趋势科技的遥测数据显示受感染的用户主要集中在意大利、中国台湾...

15款安卓壁纸app因涉嫌广告点击欺诈被下架

最近趋势科技在应用商店中发现了15款存在广告点击欺诈行为的壁纸应用。在撰写本文时这些应用已经被下载了222,200多次。趋势科技的遥测数据显示受感染的用户主要集中在意大利、中国台湾、美国、德国和印度尼西亚。目前谷歌已经确认并下架了所有这些应用。

图应用商店中的恶意壁纸应用

以下是完整列表

行为分析

总的来说这些应用都被设计得十分精美并表示可以为用户提供大量漂亮的壁纸。值得注意的是这些应用本身也拥有很高的用户评价和大量的好评但趋势科技怀疑这些好评都是刷出来的旨在诱使用户下载。

图已经被下载了超过10,000次在商店中的评分为4.8。

在被下载之后这些应用就会解码其命令和控制CC服务器的地址。

图3.解码CC服务器的地址

整个过程是在后台静默完成的因此不会引起用户的注意。一旦应用启动就会向CC服务器发送一个请求以获取一个JSON格式的feed列表。

图4.整个过程在后台静默完成

图5.CC服务器的响应

当这个feed列表运行时每一个初始化的feed和都包含、type、UA、URL、、和keywords。

图6.初始化的feed列表

然后这些应用会从GooglePlayServices获取AdvertisingID并替换URL中的一些参数——使用AdvertisingID替换ANDROID_ID将BUNDLE_ID替换为应用的包名将IP替换为受感染设备的当前IP等。在所有参数替换完成之后这些应用将根据type加载URL。

图7.构造欺诈性的fallback_URL

在加载URL时浏览器背景将被设置为透明。

图8.浏览器背景被设置为透明

在加载URL之后这些应用就会开始模仿广告页面上的点击行为。

图9.模仿广告点击

简单来说网络罪犯分子就是通过替换参数来获取非法收益的。谷歌为Android开发者提供的ID如AdvertisingID、AdvertiserID、deviceID等是针对用户的匿名标识符用户可以通过这些标识来使自己开发的应用拥有获取广告收益的能力。而这些恶意壁纸应用通过将ANDROID_ID、BUNDLE_ID、IP、USER_AGENT替换为AdvertisingID、应用包名、当前IP和当前浏览器的用户代理构建了一个欺诈性的fallback_URL进而模仿广告点击来执行广告点击欺诈行为。例如如果原始URL是

http://pub.mobday.com/api/ads_api.php?ver1.2pubid1022adspace1007advid{ANDROID_ID}bundle{BUNDLE_ID}ip{IP}ua{USER_AGENT}cb5c1236f316e45

那么它将被替换为

http://pub.mobday.com/api/ads_api.php?ver1.2pubid1022adspace1007advid****7b3a8bundlecom.amz.wildcatsip203.90.248.163uaMozilla/5.0(Linux;Android6.0.1;MuMuBuild/V417IR;wv)AppleWebKit/537.36(KHTML,likeGecko)Version/4.0Chrome/52.0.2743.100MobileSafari/537.36cb5c1236f316e45

解决方案

作为普通用户我们必须时刻保持网络安全意识并仔细查看下载的应用程序因为网络犯罪分子必然将继续通过某些应用程序的功能来获取非法收益、窃取信息以及实施攻击。此外我们有必要对自己的移动设备进行全面的安全防护从系统到应用程序以防御移动恶意软件。


已有29位网友发表了看法:

欢迎 发表评论:

横幅广告排行
最近发表
标签列表